Metodologia de Una Auditoria PDF

Metodologías de control
interno, seguridad y auditoría

informática, Modelos
Capítulo III
Auditoría informática
www.themegallery.com
LOGO
Metodologías de auditoría informática
 Introducción
Metodología es una secuencia de pasos lógica y

ordenada de proceder para llegar a un
resultado. Generalmente existen diversas formas
de obtener un resultado determinado, y de esto
se deriva la existencia de varias metodologías
para llevar a cabo una auditoria informática.
LOGO
Existen algunas metodologías de Auditoría informática y todas

depende del alcance de lo que se pretenda revisar o
analizar y que proceso informático se va ha auditar, además
las metodologías para auditoria informática, en su gran
mayoría, tienen procedimientos y tareas parecidos.
Para dar una clasificación de las auditorias informáticas

diremos que son de dos tipos:
 Generales.
 Especificas.
LOGO
Metodologías Generales
Las metodologías generales permiten dar una opinión sobre la
fiabilidad de la información, el resultado de esta metodología
es un informe generalizado donde se destacan las
vulnerabilidades encontradas. Es importante conocer que este tipo
de auditoria tiene como material de trabajo los check list,
(cuestionarios), entre otras que permiten anotar
observaciones que ayudan a conservar un banco importante de
pruebas sobre hallazgos.
Metodologías Específicas
Las metodologías especificas son aquellas que el auditor interno o
externo “crea” para su uso son mas especificas y exhaustivas, ya
que sirve para evaluar un área en particular, al igual que la
anterior metodología sus informes permiten el registro de
observaciones.
LOGO
Es importante señalar que el uso de cualquier metodología de
auditoria informática no garantiza por sí sola el éxito de los
diferentes planes de A.I
Se requiere también de un buen dominio y uso constante de los

siguientes aspectos complementarios:
 Técnicas.
 Herramientas de productividad.
 Habilidades personales.
 Conocimientos técnicos y administrativos.
 Experiencia en los campos de auditoría en informática.
 Conocimiento de los factores del negocio y del medio
externo al mismo.
 Actualización permanente.
 Involucramiento y comunicación constante con asociaciones
nacionales e internacionales relacionadas con el campo
LOGO
Etapas de la Metodología
1. Alcance y Objetivos de la Auditoría Informática
2. Estudio inicial del entorno auditable
3. Determinación de los recursos necesarios para realizar la

auditoría
4. Elaboración del plan y de los Programas de Trabajo
5. Actividades propiamente dichas de la auditoría
6. Confección y redacción del Informe Final
7. Redacción de la Carta de Introducción o Carta de

Presentación del Informe final
LOGO
Fase 1: Definición de Alcance y Objetivos
 El alcance de la auditoría expresa los límites de la misma. Debe

existir un acuerdo muy preciso entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar, es decir
cuales materias, funciones u organizaciones no van a ser auditadas.
 Las personas que realizan la auditoría han de conocer con la mayor

exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las metas
fijadas puedan ser cumplidas.
 Una vez definidos los objetivos (objetivos específicos), éstos se

añadirán a los objetivos generales y comunes de a toda auditoría
Informática: La operatividad de los Sistemas y los Controles Generales de
Gestión Informática.
LOGO
Fase 2: Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y

actividades generales de la informática. Para su realización el auditor
debe conocer lo siguiente:
 Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién
diseña y quién ejecuta es fundamental. Para realizar esto en auditor
deberá fijarse en:
1)Organigrama:
El organigrama expresa la estructura oficial de la organización a
auditar. Si se descubriera que existe un organigrama fáctico diferente al
oficial, se pondrá de manifiesto tal circunstancia.
LOGO
2) Departamentos:
Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá
brevemente las funciones de cada uno de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la

Organización:
El equipo auditor verificará si se cumplen las relaciones funcionales
y Jerárquicas previstas por el organigrama, o por el contrario
detectará, por ejemplo, si algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente subordinación. Las
funcionales por el contrario, indican relaciones no estrictamente
subordinables.
LOGO
4) Flujos de Información:
Además de las corrientes verticales intradepartamentales, la
estructura organizativa cualquiera que sea, produce corrientes de
información horizontales y oblicuas extradepartamentales.
5) Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puestos de
Trabajo de la organización corresponden a las funciones reales
distintas.
Es frecuente que bajo nombres diferentes se realicen funciones

idénticas, lo cual indica la existencia de funciones operativas
redundantes. Esta situación pone de manifiesto deficiencias
estructurales; los auditores darán a conocer tal circunstancia y
expresarán el número de puestos de trabajo verdaderamente diferentes.
LOGO
6) Número de personas por Puesto de Trabajo
Es un parámetro que los auditores informáticos deben considerar.
La inadecuación del personal determina que el número de personas
que realizan las mismas funciones rara vez coincida con la

estructura oficial de la organización.
LOGO
Fase 3: Entorno Operacional
El equipo de auditoría informática debe poseer una adecuada
referencia del entorno en el que va a desenvolverse. Este
conocimiento previo se logra determinando, fundamentalmente, los

siguientes extremos:
a. Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de
Proceso de Datos en la empresa. A continuación, se verificará la

existencia de responsables en cada unos de ellos, así como el uso de
los mismos estándares de trabajo.
LOGO
b. Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración
elegida para cada uno de ellos, ya que los mismos deben constituir un
sistema compatible e intercomunicado. La configuración de los
sistemas esta muy ligada a las políticas de seguridad lógica de las
compañías.
Los auditores, en su estudio inicial, deben tener en su poder la
distribución e interconexión de los equipos.
LOGO
c. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los
elementos físicos y lógicos de la instalación. En cuanto a Hardware

figurarán las CPUs, unidades de control local y remotas,
periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos
del Sistema, desde el software básico hasta los programas de utilidad

adquiridos o desarrollados internamente. Suele ser habitual clasificarlos
en facturables y no facturables.
LOGO
d. Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y
características principales de las líneas, así como de los accesos a la

red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la

Empresa.
LOGO
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina

con una idea general de los procesos informáticos realizados en la
empresa auditada. Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las Aplicaciones
b. Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de
metodología en el desarrollo de las aplicaciones. Si se han utilizados

varias a lo largo del tiempo se pondrá de manifiesto.
LOGO
Aplicaciones bases de datos y ficheros
c. Documentación
La existencia de una adecuada documentación de las aplicaciones
proporciona beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el
mantenimiento de los mismos.
d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de tamaño y características de las
Bases de Datos, clasificándolas en relación y jerarquías. Hallará un
promedio de número de accesos a ellas por hora o días. Esta
operación se repetirá con los ficheros, así como la frecuencia de
actualizaciones de los mismos. Estos datos proporcionan una visión
aceptable de las características de la carga informática.
LOGO
Fase 4: Determinación de recursos de la
Auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a
determinar los recursos humanos y materiales que han de

emplearse en la auditoría.
 - Recursos humanos
 - Recursos materiales
LOGO
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas de software propias
del equipo van a utilizarse igualmente en el sistema auditado, por

lo que han de convenirse en lo posible las fechas y horas de uso
entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software

b. Recursos materiales Hardware
LOGO
Recursos materiales
a. Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y Flexibles.
Habitualmente se añaden a las ejecuciones de los procesos del cliente
para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la
actividad de Técnica de Sistemas del auditado y de la cantidad y calidad
de los datos ya existentes.
b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado. Para lo cuál habrá de convenir el, tiempo
de maquina, espacio de disco, impresoras ocupadas, etc.
LOGO
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las

características y perfiles del personal seleccionado depende de la
materia auditable.
Igualmente, la auditoría en general suele ser ejercida por profesionales

universitarios y por otras personas de probada experiencia
multidisciplinaria.
LOGO
Fase 4: Determinación de recursos de la Auditoría
Informática
Perfiles Profesionales de los auditores informáticos
LOGO
Recursos Humanos
Elaboración del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus
colaboradores establecen un plan de trabajo. Decidido éste, se
procede a la programación del mismo. El plan se elabora teniendo en
cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas

específicas. En el primer caso, la elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El

volumen determina no solamente el número de auditores
necesarios, sino las especialidades necesarias del personal.
LOGO
Recursos Humanos
Elaboración del Plan y de los programas de trabajo
 En el Plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos
 En el Plan se establecen los recursos y esfuerzos globales que van a
ser necesarios
 En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
 El Plan establece disponibilidad futura de los recursos durante la
revisión.
 El Plan estructura las tareas a realizar por cada integrante del grupo.
 En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.
 Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficientemente como para permitir
modificaciones a lo largo del proyecto.
LOGO
Fase 5: Actividades de la Auditoría
Informática
Auditoría por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o
por áreas específicas. Si se examina por grandes temas, resulta

evidente la mayor calidad y el empleo de más tiempo total y mayores
recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de
una vez todas las peculiaridades que afectan a la misma, de forma

que el resultado se obtiene más rápidamente y con menor calidad.
LOGO
Fase 5: Actividades de la Auditoría
Informática
Técnicas de Trabajo:
Análisis de la información recabada del auditado
Análisis de la información propia
Cruzamiento de las informaciones anteriores
Entrevistas
Simulación
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estándares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditoría (Generadores de Programas)
Matrices de riesgo
LOGO
Fase 6: Informe Final
La función de la auditoría se materializa exclusivamente por
escrito. Por lo tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes
parciales previos al informe final, los que son elementos de contraste

entre opinión entre auditor y auditado y que pueden descubrir fallos de
apreciación en el auditor.
LOGO
Estructura del informe final
1. El informe comienza con la fecha de comienzo de la auditoría y la
fecha de redacción del mismo. Se incluyen los nombres del equipo

auditor y los nombres de todas las personas entrevistadas, con
indicación de la jefatura, responsabilidad y puesto de trabajo que

ostente.
2. Definición de objetivos y alcance de la auditoría.
3. Enumeración de temas considerados:

 Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente
posible todos los temas objeto de la auditoría.
LOGO
Estructura del informe final
4. Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
a) Situación actual. Cuando se trate de una revisión periódica, en la que

se analiza no solamente una situación sino además su evolución en el
tiempo, se expondrá la situación prevista y la situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
c) Puntos débiles y amenazas
d) Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría
informática.
e) Redacción posterior de la Carta de Introducción o Presentación.
LOGO
Modelo conceptual de la exposición del informe final:
El informe debe incluir solamente hechos importantes. La inclusión
de hechos poco relevantes o accesorios desvía la atención del lector.
El Informe debe consolidar los hechos que se describen en el

mismo. El término de "hechos consolidados" adquiere un especial
significado de verificación objetiva y de estar documentalmente probados
y soportados. La consolidación de los hechos debe satisfacer, al menos los
siguientes criterios:
1. El hecho debe poder ser sometido a cambios.

2. Las ventajas del cambio deben superar los inconvenientes
derivados de mantener la situación.
3. No deben existir alternativas viables que superen al cambio
propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
LOGO
La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado
Ha de ser relevante para el auditor y pera el cliente
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
2 – Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
LOGO
3 – Repercusión del hecho
Se redactará las influencias directas que el hecho pueda tener sobre
otros aspectos informáticos u otros ámbitos de la empresa.
4 – Conclusión del hecho

No deben redactarse conclusiones más que en los casos en que la
exposición haya sido muy extensa o compleja.
5 – Recomendación del auditor informático

Deberá entenderse por sí sola, por simple lectura.
Deberá estar suficientemente soportada en el propio texto.
Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarla.
LOGO
Fase 7: Carta de Introducción o Presentación
del Informe Final
La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta que encargo
o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
 Tendrá como máximo 4 folios
 Incluirá fecha, naturaleza, objetivos y alcance
 Cuantificará la importancia de las áreas analizadas.
 Proporcionará una conclusión general, concretando las áreas
de gran debilidad.
 Presentará las debilidades en orden de importancia y
gravedad.
 En la carta de Introducción no se escribirán nunca
recomendaciones.
. LOGO
Metodología de
Enrique Hernández
LOGO
Metodologías de Auditoría
Informática
 La metodología usada por el auditor interno
debe ser diseñada y desarrollada por el
propio auditor
 Se basa en su grado de experiencia y

habilidad
 Se deben crear las metodologías necesarias
para auditar los distintos aspectos definidos en
el plan auditor informático
LOGO
Metodologías de Auditoría
Informática
Las metodologías de auditoría informática

son del tipo cualitativo-subjetivo. Están
basadas en profesionales de gran nivel de
experiencia y formación, capaces de dictar
recomendaciones técnicas, operativas y jurídicas
LOGO
El plan del auditor Informático
 Es el esquema metodológico más importante del

auditor informático
 Describe todo sobre esta función y el trabajo que

realiza
LOGO
Partes del Plan Auditor Informático
 Las partes que lo componen deben ser al menos

las siguientes:
 Funciones
 Procedimientos
 Tipos de auditorías que realiza
 Sistema de evaluación
 Nivel de exposición
 Lista de distribución de informes
 Seguimiento de acciones correctoras
 Plan de trabajo
LOGO
 FUNCIONES
 Ubicación en el organigrama.
 Deben describirse las funciones en forma precisa y la
organización interna del departamento, con todos sus

recursos
LOGO
 PROCEDIMIENTOS
 Para las distintas tareas de las auditorías
 Definición de debilidades, entrega del informe

preliminar, cierre de la auditoría, redacción del
informe final, etc.
LOGO
 TIPOS DE AUDITORÍAS que realiza
 Metodologías y cuestionarios de las mismas
 Ejemplo: revisión de la seguridad física, de controles

internos, de la aplicación de facturación, etc.
 Existen tres tipos, según el alcance:

 Full o Completa de un área
 Limitada a un aspecto
 Comprobación de acciones correctivas de auditorías anteriores

(Corrective Action Review)
LOGO
 SISTEMA DE EVALUACIÓN y los distintos aspectos

que evalúa
 Se deben definir varios aspectos (gestión económica, de RH,
cumplimiento de normas)
 Se debe realizar una evaluación global de resumen para toda la

auditoría (Bien, Regular, Mal, significando la visión del grado de
gravedad)
 La evaluación determina la fecha de repetición de la auditoría en el

futuro, dependiendo del nivel de exposición encontrado.
LOGO
 NIVEL DE EXPOSICIÓN
 Nos permite definir la fecha de repetición de una

auditoría dependiendo de la evaluación final de la última
realizada
 Puede significar la suma de factores como impacto,

peso del área, situación de control en el área
LOGO
 LISTA DE DISTRIBUCIÓN DE INFORMES.
 Se define la cantidad de informes con el resultado final de

la auditoría que se van a distribuir
 SEGUIMIENTO DE ACCIONES CORRECTIVAS

 Dependiendo de las acciones correctivas sugeridas en el
informe final, se realiza un adecuado seguimiento.
LOGO
 PLAN DE TRABAJO
 Se estiman tiempos y se realiza un calendario

con horas de trabajo previstas
 Se definen los recursos que se necesitarán
LOGO
Control Interno
Se puede definir el control interno como “cualquier actividad o acción
realizada” manual y/o automáticamente para prevenir, corregir errores o

irregularidades que puedan afectar al funcionamiento de un sistema
para conseguir sus objetivos.
Control Interno Informático C.I.I., controla diariamente que todas las
actividades de sistemas de información sean realizadas cumpliendo los

procedimientos, estándares y normas fijados por la Dirección de la
Organización y/o Dirección de Informática, así como los requerimientos
legales.
LOGO
Control Interno
Para que exista control es necesario que se establezcan
primero unas normas o estándares que indiquen la ruta

ideal a seguir por el sistema para cumplir con los objetivos,
luego se debe medir el desempeño del sistema y compararlo
con los estándares anteriormente determinados y por ultimo se
deben ejecutar las acciones necesarias para corregir las
desviaciones de la operación del sistema con relación a la ruta

ideal para el cumplimiento de los fines.
LOGO
Control Interno
La misión de C.I.I. es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas.
La función se le asigna a una unidad orgánica perteneciente al staff de la

Gerencia de Informática y debe estar dotada de las personas y
medios materiales requeridos para el cumplimiento de su misión.
LOGO
Control Interno
C.I.I. - PRINCIPALES FUNCIONES
Realizar en los diferentes sistemas (centrales, departamentales, redes
locales, Peces, etc.) y entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades operativas sobre:
1. Cumplimiento de diferentes procedimientos, normas y controles dictados.

Ejemplo. Control de cambios y versiones de software.
2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del

software y del servicio informático.
4. Controles en las redes de comunicaciones.
5. Controles sobre el software de base.
LOGO
Control Interno
C.I.I. - PRINCIPALES FUNCIONES

6. Controles en los sistemas microinformáticos.
7. La seguridad informática:
8. Usuarios, responsables y perfiles de uso de archivos y bases de

datos.
9. Normas de seguridad.
10.Control de información clasificada.
11.Control dual de la seguridad informática.
12.Licencias.
13.Contratos con terceros.
14.Asesorar y transmitir cultura sobre el riesgo informático.
LOGO
Control Interno
PRINCIPALES OBJETIVOS
Controlar que todas las actividades se realicen cumpliendo

los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informática, así

como de las auditorias externas.
Definir , implantar y ejecutar mecanismos y controles

para comprobar el logro de los grados adecuados del
servicio informático
LOGO
Control Interno
Elementos del Control Interno
La clasificación mas aceptada de los elementos del Control Interno
es la de Johansen Bertoglio [Bertoglio, 1986]
1. Un conjunto de normas o estándares que determinen los

objetivos a lograr por el sistema o Variables a controlar,
2. Un mecanismo que suministre energía o información al
sistema o Fuente de Energía,
3. Un mecanismo de medición del desempeño del sistema o
Mecanismo Sensor,
4. Un mecanismo que compare lo medido con los estándares
establecidos o Mecanismo Comparador,
5. Un mecanismo que comunique lo medido con relación a los
estándares o Mecanismo Realimentador,
6. Un mecanismo que realice la acción de corrección de las
desviaciones con respecto a los estándares o Mecanismo
Efector o Motor
LOGO
Control Interno
Componentes del Control Interno
1. AMBIENTE DE CONTROL
2. EVALUACION DE RIESGOS
3. ACTIVIDADES DE CONTROL
4. INFORMACION Y COMUNICACIÓN
5. SUPERVISION Y SEGUIMIENTO
LOGO
Control Interno
La organización debe establecer un entorno que permita el
estimulo y produzca influencia en la actividad del recurso humano
respecto al control de sus actividades. Para que este ambiente de
control se genere se requiere de otros elementos asociados al
mismo los cuales son:
Integridad y valores éticos. Se deben establecer los valores
éticos y de conducta que se esperan del recurso humano al
servicio del Ente, durante el desempeño de sus actividades
propias.
Competencia. Se refiere al conocimiento y habilidad que debe
poseer toda persona que pertenezca a la organización, para
desempeñar satisfactoriamente su actividad.
LOGO
Control Interno
Experiencia y dedicación de la Alta Administración. Es vital
que quienes determinan los criterios de control posean gran
experiencia, dedicación y se comprometan en la toma de las
medidas adecuadas para mantener el ambiente de control.
Filosofía administrativa y estilo de operación. Es sumamente

importante que se muestre una adecuada actitud hacia los
productos de los sistemas de información que conforman la
organización. Aquí tienen gran influencia la estructura organizativa,
delegación de autoridad y responsabilidades y políticas y
practicas del recurso humano. Es vital la determinación
actividades para el cumplimiento de la misión de la empresa, la
delegación autoridad en la estructura jerárquica, la
determinación de las responsabilidades a los funcionarios en
forma coordinada para el logro de los objetivos.
LOGO
Control Interno
Riesgos. Los factores que pueden incidir interfiriendo el
cumplimiento de los objetivos propuestos por el sistema
(organización), se denominan riesgos. Estos pueden provenir del
medio ambiente o de la organización misma. Se debe
entonces establecer un proceso amplio que identifique y analice las
interrelaciones relevantes de todas las áreas de la organización y
de estas con el medio circundante, para así determinar los riesgos
posibles.
La evaluación de riesgos presenta los siguientes aspectos
sobresalientes:
Objetivos. Todos los recursos y los esfuerzos de la organización

están orientados por los objetivos que persigue la misma. Al
determinarse los objetivos es crucial la identificación de los
factores que pueden evitar su logro.
LOGO
Control Interno
Análisis de riesgos y su proceso. Los aspectos importantes a
incluir son entre otros:
• Estimación de la importancia del riesgo y sus efectos

• Evaluación de la probabilidad de ocurrencia
• Establecimiento de acciones y controles necesarios
• Evaluación periódica del proceso anterior
Manejo de cambios. Tiene relación con la identificación de los

cambios que puedan tener influencia en la efectividad de los
controles internos ya establecidos. Todo control diseñado para
una situación especifica puede ser inoperante cuando las
circunstancias se modifican. Este elemento tiene estrecha
relación con el proceso de análisis de riesgos, pues el cambio en si
implica un factor que puede incidir en el éxito de los objetivos.
LOGO
Control Interno
Existe el riesgo de auditoria, que consiste en que el auditor no

detecte un error de importancia relativa que pueda existir en el
sistema examinado. El riesgo de auditoria puede consistir en riesgo
inherente, riesgo de control, y el riesgo de detección.
LOGO
Control Interno
3. ACTIVIDADES DE CONTROL
Las actividades de una organización se manifiestan en las políticas,

sistemas y procedimientos, siendo realizadas por el recurso
humano que integra la entidad. Todas aquellas actividades que se
orienten hacia la identificación y análisis de los riesgos reales o
potenciales que amenacen la misión y los objetivos y en beneficio
de la protección de los recursos propios o de los terceros en poder
de la organización, son actividades de control. Estas pueden ser
aprobación, autorización, verificación, inspección, revisión de
indicadores de gestión, salvaguarda de recursos, segregación de
funciones, supervisión y entrenamiento adecuado.
LOGO
Control Interno
4. INFORMACIÓN Y COMUNICACIÓN
Los datos pertinentes a cada sistema de información no solamente

deben ser identificados, capturados y procesados, sino que este
producto debe ser comunicado al recurso humano en forma
oportuna para que así pueda participar en el sistema de control. La
información por lo tanto debe poseer unos adecuados canales de
comunicación que permitan conocer a cada uno de los integrantes
de la organización sus responsabilidades sobre el control de sus
actividades. También son necesarios canales de comunicación
externa que proporcionen información a los terceros interesados en
la entidad y a los organismos estatales.
LOGO
Control Interno
Planeado e implementado un sistema de Control Interno, se debe

vigilar constantemente para observar los resultados obtenidos por
el mismo. Todo sistema de Control Interno por perfecto que
parezca, es susceptible de deteriorarse por múltiples
circunstancias y tiende con el tiempo a perder su
efectividad. Por esto debe ejercerse sobre el mismo una
supervisión permanente para producir los ajustes que se requieran
de acuerdo a las circunstancias cambiantes del entorno.
LOGO
Control Interno
El sistema de control interno debe estar bajo continua supervision

para determinar si:
• Las políticas descritas están siendo interpretadas

apropiadamente y si se llevan a cabo.
• Los cambios en las condiciones de operación no han hecho
estos procedimientos obsoletos o inadecuados y,
• Es necesario tomar oportunamente efectivas medidas de
corrección cuando sucedan tropiezos en el sistema.
LOGO
Control Interno
METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
Existen los siguientes métodos para la documentar el conocimiento

del Control Interno por parte del auditor, los cuales no son
exclusivos y pueden ser utilizados en forma combinada para una
mejor efectividad.
1. Método descriptivo
2. Método grafico
3. Método de cuestionarios
LOGO
Control Interno
CONTROL INTERNO
1. Método descriptivo
Consiste en la narración de los procedimientos relacionados
con el control interno, los cuales pueden dividirse por
actividades que pueden ser por departamentos, empleados y
cargos. Los procesos de control relacionados incluye por lo menos
cuatro características:
1. Origen de cada documento y registro en el sistema.

2. Como se efectúa el procesamiento.
3. Disposición de cada documento y registro en el sistema.
4. Indicación de los procedimientos de control pertinentes a la
evaluación de los riesgos de control.
LOGO
Control Interno
CONTROL INTERNO
1. Método Gráfico
Consiste en la preparación de diagramas de flujo de los

procedimientos ejecutados en cada uno de los departamentos
involucrados en una operación. Un diagrama de flujo de control
interno consiste en una representación simbólica y por medio
de flujo secuencial de los documentos de la entidad
auditada. El diagrama de flujo debe representar todas las
operaciones, movimientos, demoras y procedimientos de archivo
concernientes al proceso descrito.
LOGO
Control Interno
CONTROL INTERNO
1. Método de Cuestionarios
Básicamente consiste en un listado de preguntas a través de
las cuales se pretende evaluar las debilidades y fortalezas
del sistema de control interno.
Estos cuestionarios se aplican a cada una de las áreas en las
cuales el auditor dividió los rubros a examinar. Para elaborar las
preguntas, el auditor debe tener el conocimiento pleno de los
puntos donde pueden existir deficiencias para así formular la
pregunta clave que permita la evaluación del sistema en vigencia
en la empresa. Generalmente el cuestionario se diseña para que
las respuestas negativas indiquen una deficiencia de control
interno. Algunas de las preguntas pueden ser de tipo general y
aplicable a cualquier empresa, pero la mayoría deben ser
especificas para cada organización en particular y se deben
relacionar con su objeto social.
LOGO
Control Interno
CLASIFICACIÓN
1. Controles preventivos.- para tratar de evitar el hecho, como
un software de seguridad que impida los accesos no
autorizados al sistema.
2. Controles detectivos.- cuando fallan los preventivos, para

tratar de conocer cuanto antes el evento. Por ejemplo, el
registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.
3. Controles correctivos.- facilitan la vuelta a la normalidad

cuando se han producido incidencias. Por ejemplo, la
recuperación de un fichero dañado a partir de las copias de
seguridad.
LOGO
Control Interno
Diferencias y similitudes del Control interno y la
LOGO
Actividades control interno
1.- En una empresa cualquiera, establezca las medidas de Control
Interno que se aplican. Analice cada una de ellas y determine
cual o cuales están de acuerdo a los objetivos que persigue.
2. - Tome la sección o departamento de Centro de Procesamiento

de Datos de la empresa y enumere cinco medidas de control
interno encaminadas a la protección de los activos físicos de
dicha sección.
3. - Tome la sección o departamento de Procesamiento de la

empresa y enumere cinco medidas de control interno
encaminadas a la obtención de información confiable y segura de
dicha sección.
4. - Tome la sección o departamento de Procesamiento de la

empresa y enumere cinco medidas de control interno referidas a
la entrada de datos.
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
Los controles pueden implantarse a varios niveles diferentes. La

evaluación de los controles de la Tecnología de la Información
exige analizar diversos elementos independientes. Por ello es
importante llegar a conocer bien la configuración del
sistema, con el objeto de identificar los elementos, productos y
herramientas que existen para saber dónde pueden implantarse
los controles, así como identificar posibles riesgos. Para llegar a
conocer la configuración del sistema es necesario documentar los
detalles de la red, así como los distintos niveles de control y
elementos relacionados:
LOGO
Control Interno
informáticos
Entorno de red: esquema de la red, descripción de la

configuración hardware de comunicaciones, descripción del
software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos
de base que soportan aplicaciones críticas y consideraciones
relativas a la seguridad de la red.
Configuración del ordenador base: configuración del soporte
físico, entorno del sistema operativo, software con particiones,
entornos (pruebas y real), bibliotecas de programas y conjunto de
datos.
LOGO
Control Interno
informáticos
Entorno de aplicaciones: procesos de transacciones, sistemas

de gestión de bases de datos y entornos de procesos distribuidos.
Productos y herramientas: software para desarrollo de
programas, software de gestión de bibliotecas y para operaciones
automáticas.
Seguridad del ordenador base: identificar y verificar
usuarios, control de acceso, registro e información, integridad del
sistema, controles de supervisión, etc.
LOGO
Control Interno
informáticos
Para la implantación de un sistema de controles internos

informáticos habrá que definir las siguientes características:
Gestión de sistemas de información: políticas, pautas y

normas técnicas que sirvan de base para el diseño y la
implantación de los sistemas de información y de los controles
correspondientes.
Administración de sistemas: controles sobre la actividad de
los centros de datos y otras funciones de apoyo al sistema,
incluyendo la administración de las redes.
LOGO
Control Interno
informáticos
Seguridad: incluye las tres clases de controles fundamentales

implantados en el software del sistema, como son la integridad
del sistema, la confidencialidad (control de acceso) y la
disponibilidad.
Gestión del cambio: separación de las pruebas y la producción

a nivel de software y controles de procedimientos, para la
migración de programas software aprobados y probados.
LOGO
Control Interno
informáticos
LOGO
Control Interno
informáticos
La implantación de una política y cultura sobre la seguridad,
requiere que sea realizada por fases y esté respaldada por
la Dirección. Cada función juega un papel importante en las
distintas etapas que son, básicamente, las siguientes:
Dirección de Negocio o Dirección de Sistemas de

Información (S.I.): han de definir la política y/o directrices
para los sistemas de información en base a las exigencias del
negocio, que podrán ser internas o externas.
Dirección de Informática: ha de definir las normas de

funcionamiento del entorno informático y de cada una de las
funciones de informática mediante la creación y publicación de
procedimientos, estándares, metodología y normas, aplicables a
todas las áreas de informática, así como a los usuarios que
establezcan el marco de funcionamiento.
LOGO
Control Interno
informáticos
La implantación de una política y cultura sobre la seguridad,
requiere que sea realizada por fases y esté respaldada por
la Dirección. Cada función juega un papel importante en las
distintas etapas que son, básicamente, las siguientes:
Dirección de Negocio o Dirección de Sistemas de

Información (S.I.): han de definir la política y/o directrices
para los sistemas de información en base a las exigencias del
negocio, que podrán ser internas o externas.
Dirección de Informática: ha de definir las normas de

funcionamiento del entorno informático y de cada una de las
funciones de informática mediante la creación y publicación de
procedimientos, estándares, metodología y normas, aplicables a
todas las áreas de informática, así como a los usuarios que
establezcan el marco de funcionamiento.
LOGO
Control Interno
informáticos
Control Interno Informático: ha de definir los diferentes
controles periódicos a realizar en cada una de las funciones
informáticas, de acuerdo al nivel de riesgo de cada una de ellas,
y ser diseñados conforme a los objetivos de negocio y dentro del
marco legal aplicable. Estos se plasmarán en los oportunos
procedimientos de control interno y podrán ser preventivos o de
detección. Realizará periódicamente la revisión de los controles
establecidos de Control Interno Informático, informando de las
desviaciones a la Dirección de Informática y sugiriendo cuantos
cambios crea convenientes en los controles. Deberá, además,
transmitir constantemente a toda la Organización de Informática
la cultura y políticas del riesgo informático.
LOGO
Control Interno
informáticos
Auditor interno/externo informático: ha de revisar los

diferentes controles internos definidos en cada una de las
funciones informáticas y el cumplimiento de la normativa interna
y externa, de acuerdo al nivel de riesgo y conforme a los
objetivos definidos por la Dirección de Negocio y la Dirección de
Informática. Informará también a la Alta Dirección, de los
hechos observados y al detectarse deficiencias o ausencias de
controles recomendarán acciones que minimicen los riesgos que
pueden originarse.
LOGO
Control Interno
Esquema del Control Interno Informático
LOGO
Control Interno
La creación de un sistema de control informático es una

responsabilidad de la Gerencia y un punto destacable de la
política en el entorno informático.
A continuación, se indican algunos controles internos para los

sistemas de información, agrupados por secciones
funcionales, y que serían los que el Control Interno Informático
y la Auditoría Informática deberían verificar para determinar su
cumplimiento y validez:
LOGO
Control Interno
Controles generales organizativos: engloba una serie de
elementos, tales como:
Políticas.
Planificación (plan estratégico de información, plan
informático, plan general de seguridad y plan de
emergencia ante desastres).
Estándares.
Procedimientos.
Organizar el departamento de informática.
Descripción de las funciones y responsabilidades dentro
del departamento.
Políticas de personal.
Asegurar que la dirección revisa todos los informes de
control y resuelve las excepciones que ocurran.
Asegurar que existe una política de clasificación de la
información.
Designar oficialmente la figura del Control Interno
Informático y de la Auditoría Informática.
LOGO
Control Interno
Controles de desarrollo, adquisición y mantenimiento de
sistemas de información: se utilizan para que se puedan
alcanzar la eficacia del sistema, economía y eficiencia, integridad
de los datos, protección de los recursos y cumplimiento con las
leyes y regulaciones. Se compone de:
Metodología del ciclo de vida del desarrollo de sistemas.

Explotación y mantenimiento.
Controles de explotación de sistemas de información:

consta de:
Planificación y gestión de recursos.

Controles para usar de manera efectiva los recursos en
ordenadores.
Procedimientos de selección del software del sistema, de
instalación, de mantenimiento, de seguridad y de control de
cambios.
Seguridad física y lógica.
LOGO
Control Interno
Controles en aplicaciones: cada aplicación debe llevar
controles incorporados para garantizar la entrada, actualización,
y mantenimiento de los datos:
Control de entrada de datos.

Controles de tratamiento de datos.
Controles de salida de datos.
Controles específicos de ciertas tecnologías:
Controles en Sistemas de Gestión de Bases de Datos.

Controles en informática distribuida y redes.
Controles sobre ordenadores personales y redes de área
local.
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
la informática crea unos riesgos informáticos de los que hay que

proteger y preservar a la entidad con un entramado de
contramedidas, y la calidad y la eficacia de las mismas es el
objetivo a evaluar para poder identificar así sus puntos débiles y
mejorarlos. Ésta, es una de las funciones de los auditores
informáticos, por lo que debemos profundizar más en este
entramado de contramedidas para ver qué papel tienen las
metodologías y los auditores en el mismo. Para explicar este
aspecto, diremos que cualquier contramedida nace de la
composición de varios factores. Todos los factores de la pirámide
intervienen en la composición de una contramedida:
LOGO
Factores de la Contramedida
LOGO
La Normativa: debe definir de forma clara y precisa todo lo

que debe existir y ser cumplido, tanto desde el punto de vista
conceptual, como práctico, desde lo general a lo particular. Debe
inspirarse en estándares, políticas, marco jurídico, políticas y
normas de empresa, experiencia y práctica profesional.
Desarrollando la normativa, debe alcanzarse el resto del “gráfico
valor”. Se puede dar el caso en que una normativa y su carácter
disciplinado sea el único control de un riesgo ( aunque esto no
sea frecuente).
LOGO
La Organización: la integran personas con funciones

específicas y con actuaciones concretas, procedimientos
definidos metodológicamente y aprobados por la dirección de la
empresa. Éste es el aspecto más importante, dado que sin él,
nada es posible. Se pueden establecer controles sin alguno de
los demás aspectos, pero nunca sin personas, ya que son éstas
las que realizarán los procedimientos y desarrollan los diversos
planes (Plan de Seguridad, Plan de Contingencias, Auditorías,
etc).
LOGO
Las Metodologías: son necesarias para desarrollar cualquier

proyecto que nos propongamos de manera ordenada y eficaz.
Los Objetivos de Control: son los objetivos a cumplir en el

control de procesos. Este concepto es el más importante
después de ‘la organización’, y solamente de un planteamiento
correcto de los mismos, saldrán unos procedimientos eficaces y
realistas.
LOGO
Los Procedimientos de Control: son los procedimientos

operativos de las distintas áreas de la empresa, obtenidos con
una metodología apropiada, para la consecución de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y
aprobados por la Dirección. La tendencia habitual de los
informáticos es la de dar más peso a la herramienta que al
propio control o contramedida, pero no se debe olvidar que una
herramienta nunca es solución sino una ayuda para conseguir un
control mejor. Sin la existencia de estos procedimientos, las
herramientas de control son solamente una ‘anécdota’.
LOGO
La Tecnología de Seguridad: dentro de este nivel, están

todos los elementos (hardware y software) que ayudan a
controlar un riesgo informático. En este concepto están los
cifradores, autentificadores, equipos denominados ‘tolerantes al
fallo’, las herramientas de control, etc.
LOGO
Las Herramientas de Control: son elementos software que permiten

definir uno o varios procedimientos de control para cumplir una normativa
y un objetivo de control. Las herramientas de control (software) más
comunes son:
Seguridad lógica del sistema.

Seguridad lógica complementaria al sistema (desarrollado a medida)
 Seguridad lógica para entornos distribuidos.
 Control de acceso físico. Control de presencia.
 Control de copias.
 Gestión de copias.
 Gestión de soportes magnéticos.
 Gestión y control de impresión y envío de listados por red.
 Control de proyectos.
 Control y gestión de incidencias.
 Control de cambios.
LOGO
La tendencia actual en la organización de la seguridad de

sistemas en la empresa, es que por una parte un comité que
estaría formado por el director de la estrategia y de las
políticas; y por otra parte, el control interno y la auditoría
informática. La función del control interno se ve involucrada en
la realización de los procedimientos de control, y es una labor
del día a día.
La función de la auditoría informática está centrada en la
evaluación de los distintos aspectos que designe su Plan Auditor,
con unas características de trabajo que son las visitas concretas
al centro, con objetivos concretos y, tras terminar su trabajo, la
presentación del informe de resultados.
LOGO
LOGO
Normas de control interno informático
1. COSO (1992): Internal Control - Integrated Framework del
Committee of Sponsoring Organizations of the Treadway
Commission. Brinda recomendaciones a la dirección sobre
cómo evaluar, reportar y mejorar los sistemas de control.
2. COBIT (1996): (Control Objectives for Information and related

Technology) de la Information Systems Audit and Control
Foundation. Es una estructura que provee una herramienta para
los propietarios de los procesos del negocio para descargar
eficiente y efectivamente sus responsabilidades de control
sobre los sistemas informáticos.
3. SAC (1991, revisado en 1994) (Systems Auditability and Control)

del Institute of Internal Auditors Research Foundation. Ofrece
asistencia a los auditores internos sobre el control y
auditoria de los sistemas y tecnología informática.
LOGO
LOGO
COBIT: Control Objectives for Information and related
Technology
La Information Systems Audit and Control Foundation (ISACF)

desarrolló los Objetivos de Control para la Información y
Tecnología relacionada (COBIT) para servir como una estructura
generalmente aplicable y prácticas de seguridad y control de SI
para el control de la tecnología de la información. Esta estructura
COBIT le permite a la gerencia comparar (benchmark) la
seguridad y prácticas de control de los ambientes de TI, permite a
los usuarios de los servicios de TI asegurarse que existe una
adecuada seguridad y control y permite a los auditores sustanciar
sus opiniones sobre el control interno y aconsejar sobre materias
de seguridad y control de TI.
LOGO
Technology
Definición: COBIT adaptó su definición de control a partir de

COSO: Las políticas, procedimientos, prácticas y estructuras
organizacionales están diseñadas para proveer aseguramiento
razonable de que se lograrán los objetivos del negocio y que se
prevendrán, detectarán y corregirán los eventos no deseables.
COBIT enfatiza el rol e impacto del control de TI en lo

relacionado con los procesos del negocio. COBIT, describe
objetivos de control de TI independientes de plataformas y
aplicaciones.
LOGO
Technology
Recursos de TI: COBIT clasifica los recursos de TI como datos,
sistemas de aplicación, tecnología, instalaciones y gente. Los
datos son definidos en su sentido más amplio e incluyen no sólo
números, textos y fechas, sino también objetos tales como
gráficos y sonido. Los sistemas de aplicación son entendidos como
la suma de procedimientos manuales y programados.
La tecnología se refiere al hardware, sistemas operativos, equipos
de redes y otros. Instalaciones son los recursos utilizados para
albergar y soportar los sistemas de información. Gente
comprende las capacidades y habilidades individuales para
planear, organizar, adquirir, entregar, apoyar y monitorear los
servicios y sistemas de información.
LOGO
Technology
Requerimientos: COBIT combina los principios incorporados en

los modelos de referencia existentes en tres amplias categorías:
calidad, responsabilidad fiduciaria y seguridad. De estos amplios
requerimientos, se extrae siete categorías superpuestas de
criterios para evaluar cuan bien están satisfaciendo los recursos
de TI los requerimientos de información del negocio. Estos
criterios son efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad de la información.
LOGO
Technology
Procesos y Dominios: COBIT clasifica los procesos de TI en

cuatro dominios. Estos cuatro dominios son (1) planeamiento y
organización, (2) adquisición e implementación, (3) entrega y
soporte y (4) monitoreo. El agrupamiento natural de procesos en
dominios es a menudo confirmado como dominios de
responsabilidad en las estructuras organizacionales y sigue el
ciclo gerencial o ciclo de vida aplicable a los procesos de TI en
cualquier ambiente de TI.
LOGO
Technology
Estructura: La estructura COBIT provee declaraciones de control

de alto nivel para los procesos particulares de TI. La estructura
identifica la necesidad del negocio satisfecha por la declaración de
control, identifica los recursos de TI administrados por los
procesos, establece los controles habilitados y lista los principales
objetivos de control aplicables.
LOGO
SAC: Systems Auditability and Control
Definición: El informe SAC define a un sistema de control interno

como: un conjunto de procesos, funciones, actividades,
subsistemas, y gente que son agrupados o conscientemente
segregados para asegurar el logro efectivo de los objetivos y
metas.
El informe SAC enfatiza el rol e impacto de los sistemas computarizados

de información sobre el sistema de control interno. El mismo acentúa la
necesidad de evaluar los riesgos, pesar los costos y beneficios y
construir controles en los sistemas en lugar de agregarlos luego de la
implementación.
LOGO
Componentes: El sistema de control interno consiste en tres

componentes: el ambiente de control, los sistemas manuales y
automatizados y los procedimientos de control.
El ambiente de control incluye la estructura de la organización, la

estructura de control, las políticas y procedimientos y las influencias
externas.
Los sistemas automatizados consisten en sistemas y software de
aplicación. SAC discute los riesgos de control asociados con los sistemas
de usuario final y departamentales pero no describe ni define los sistemas
manuales.
Los procedimientos de control consisten en controles generales, de
aplicaciones y compensatorios.
LOGO
Clasificaciones: SAC provee cinco esquemas de clasificación

para los controles internos en los sistemas informáticos:
(1)preventivos, detectivos, y correctivos,
(2)discrecionales y no-discrecionales,
(3) voluntarios y obligatorios,
(4)manuales y automatizados y
(5)controles de aplicaciones y generales.
Estos esquemas se enfocan en cuándo se aplica el control, si el
control puede ser evitado, quién impone la necesidad del control,
cómo se implementa el control, y dónde se implementa el control
en el software.
LOGO
Objetivos de Control y Riesgos: Los riesgos incluyen fraudes,

errores, interrupción del negocio, y el uso ineficiente e inefectivo
de los recursos. Los objetivos de control reducen estos riesgos y
aseguran la integridad de la información, la seguridad, y el
cumplimiento. La integridad de la información es resguardada por
los controles de calidad del input, procesamiento, output y
software. Las medidas de seguridad incluyen los controles de
seguridad de los datos, física y de programas. Los controles de
cumplimiento aseguran conformidad con las leyes y regulaciones,
los estándares contables y de auditoría, y las políticas y
procedimientos internos.
LOGO
Rol del Auditor Interno: Las responsabilidades de los auditores

internos incluyen asegurar la adecuación del sistema de control
interno, la confiabilidad de los datos y el uso eficiente de los
recursos de la organización. A los auditores internos también les
concierne la prevención y detección de fraudes, y la coordinación
de actividades con los auditores externos. Para los auditores
internos es necesaria la integración de las habilidades de auditoria
y sistemas de información y una comprensión del impacto de la
tecnología informática sobre el proceso de auditoria. Estos
profesionales realizan ahora auditorias financieras, operativas y
de los sistemas de información.
LOGO
COSO: Comittee of Sponsoring Organizations
Definición: El informe COSO define control interno como: un

proceso, efectuado por el directorio, la gerencia y otro personal
de la entidad, diseñado para proveer un aseguramiento razonable
en relación al logro de los objetivos en las siguientes categorías:
efectividad y eficiencia de las operaciones

confiabilidad de los reportes financieros
cumplimiento con las leyes y regulaciones aplicables.
LOGO
Componentes: El sistema de control interno consiste en cinco

componentes interrelacionados:
(1)ambiente de control,
(2)evaluación de riesgos,
(3)actividades de control,
(4)información y comunicación, y
(5)monitoreo.
LOGO
El ambiente de control provee la base para los otros

componentes. El mismo abarca factores tales como filosofía y
estilo operativo de la gerencia, políticas y prácticas de recursos
humanos, la integridad y valores éticos de los empleados, la
estructura organizacional, y la atención y dirección del directorio.
El informe COSO brinda una guía para evaluar cada uno de estos
factores. Por ejemplo, la filosofía gerencial y el estilo operativo
pueden ser evaluados examinando la naturaleza de los riesgos del
negocio que acepta la gerencia, la frecuencia de su interacción
con los subordinados, y su actitud hacia los informes financieros.
LOGO
La evaluación de riesgo consiste en la identificación del riesgo

y el análisis del riesgo. La identificación del riesgo incluye
examinar factores externos tales como los desarrollos
tecnológicos, la competencia y los cambios económicos, y factores
internos tales como calidad del personal, la naturaleza de las
actividades de la entidad, y las características de procesamiento
del sistema de información. El análisis de riesgo involucra estimar
la significación del riesgo, evaluar la probabilidad de que ocurra y
considerar cómo administrarlo.
LOGO
Las actividades de control consisten en las políticas y

procedimientos que aseguran que los empleados lleven a cabo las
directivas de la gerencia. Las actividades de control incluyen
revisiones del sistema de control, los controles físicos, la
segregación de tareas y los controles de los sistemas de
información. Los controles sobre los sistemas de información
incluyen los controles generales y los controles de las
aplicaciones. Controles generales son aquellos que cubren el
acceso, el desarrollo de software y sistemas.
Controles de las aplicaciones son aquellos que previenen que
ingresen errores en el sistema o detectan y corrigen errores
presentes en el sistema.
LOGO
La entidad obtiene información pertinente y la comunica a

través de la organización. El sistema de información identifica,
captura y reporta información financiera y operativa que es útil
para controlar las actividades de la organización. Dentro de la
organización, el personal debe recibir el mensaje que ellos deben
comprender sus roles en el sistema de control interno, tomar
seriamente sus responsabilidades por el control interno, y, si es
necesario, reportar problemas a los altos niveles de gerencia.
Fuera de la entidad, los individuos y organizaciones que
suministran o reciben bienes o servicios deben recibir el mensaje
de que la entidad no tolerará acciones impropias.
LOGO
La gerencia monitorea el sistema de control revisando el

output generado por las actividades regulares de control y
realizando evaluaciones especiales.
Las actividades regulares de control incluyen comparar los activos
físicos con los datos registrados, seminarios de entrenamiento, y
exámenes realizados por auditores internos y externos. Las
evaluaciones especiales pueden ser de distinto alcance y
frecuencia. Las deficiencias encontradas durante las actividades
regulares de control son normalmente reportadas al supervisor a
cargo; las deficiencias detectadas durante evaluaciones especiales
son normalmente comunicadas a los niveles altos de la
organización.
LOGO
Beneficios de realizar Auditorías basadas en el Informe

COSO
• Eficacia: la prueba de los componentes del control interno
COSO proporcionan un fundamento sólido para determinar el
grado de seguridad brindado por los controles.
• Eficiencia: enfocar un único objetivo COSO, evita una costosa
dispersión en el alcance.
• Capacidad de ser comparado: utilizar un marco común de
auditoría y un sistema de clasificación, permite que se pueda
comparar a los controles de diferentes áreas.
• Comunicación: integrar los criterios del informe COSO, a las
discusiones con los responsables mejora la comprensión de los
conceptos de control.
• Comité de Auditoría: en aquellas entidades con Comité de
Auditoría, informar en términos del informe COSO. Ayuda a
representar las fortalezas y debilidades del sistema de control
interno.
LOGO
ISO 17799: Code of practice information security
management.
La ISO17799 considera la organización como una totalidad y tiene en

consideración todos los posibles aspectos que se pueden ver afectados
ante los posibles incidentes que puedan producirse.
Esta norma pretende aportar las bases para tener en consideración todos
y cada uno de los aspectos que puede suponer un incidente en las
actividades de negocio de la organización.
LOGO
management.
La ISO 17799, es una guía de recomendaciones de

buenas prácticas para la gestión de seguridad informática. Cubre no
sólo la problemática de la IT sino que hace una aproximación
holística a la seguridad de la información abarcando todas las
funcionalidades de una organización en cuanto a que puedan afectar
la seguridad informática. Para ello la norma define para su selección
un total de 36 objetivos de control con 127 controles generales de
seguridad estructurados en 10 áreas de control que incluyen
cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios,
cumplimiento, etc.
LOGO
management.
La ISO 17799 está redactada bajo la forma verbal "should", un término

presente en otras normas ISO por convención, expresa una forma
condicional a modo de recomendación y no de imposición. Es así como la
norma hace precisamente recomendaciones y no
establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traído confusión
en el verdadero alcance de esta norma.
Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 y en

realidad prácticamente es igual a la misma.
LOGO
management.
Esta norma se estructura en 10 dominios en los que cada uno de ellos
hace referencia a un aspecto de la seguridad de la organización:
1. Política de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad del personal
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de continuidad del negocio
10.Conformidad legal
LOGO
ACL: Access Control List
Es una tabla que le dice a un sistema los derechos de

acceso que cada usuario posee para un objeto
determinado, como directorios, ficheros, puertos, etc. Técnicas
para limitar el acceso a los recursos según la información de
autenticidad y las normas de acceso.
LOGO
ACL es la herramienta de software de auditoria preferida por

la comunidad de auditoria interna internacional, para la
extracción del análisis de datos, la detección de fraudes y el
control continuo. Al proporcionar una exclusiva y eficiente
combinación de acceso a los datos, análisis y elaboración
integrada de reportes, ACL permite transformar los datos en
información significativa. Independientemente del origen de los
datos (bases de datos planas o relacionales, hojas de calculo,
archivos de reportes), ACL lee y compara los datos y permite que
los datos de origen permanezcan intactos, lo que ofrece una
calidad e integridad total. ACL te permite captar de inmediato la
información sobre las transacciones fundamentales para la
organización
LOGO
Con ACL se puede:
1 - Efectuar análisis mas veloces, independientemente del

departamento de tecnología de la información, con una interfaz
de usuario intuitiva, menos desplegables, barras de tareas y
comandos tipo "apuntar y hacer clic“.
2 - Aprovechar la capacidad de tamaño ilimitado de archivo y la

velocidad sin precedentes de ACL para procesar rápidamente
millones de transacciones, asegurar una cobertura al 100 por
ciento y una confianza absoluta en los resultados.
LOGO
Con ACL se puede:
3 - Producir informes claros. Diseñar, generar una vista previa y

modificar los resultados en una forma fácil, en pantalla, con
formato tipo "arrastrar y soltar“.
4 - Identificar tendencias, determinar excepciones y destacar

áreas potenciales de interés.
5 - Ubicar errores y fraudes potenciales al comparar y analizar

los archivos, de acuerdo con el criterio del usuario final.
LOGO
Con ACL se puede:
6 - Identificar temas de control y asegurar el cumplimiento de las
normas
7 - En una forma solida pero sencilla, ACL extiende la

profundidad y el espacio para el análisis, aumenta la
productividad personal y brinda confianza en los resultados.
Además, no se necesita ser un especialista técnico para usarlo.
Con ACL, las organizaciones pueden lograr una rápida
recuperación de la inversión, reducir el riesgo, asegurar la
conformidad con las normas, minimizar las perdidas y mejorar la
rentabilidad.
LOGO
ERM: Enterprise Risk Management
La gestión de Riesgo empresarial (ERM) es un proceso

estructurado, consistente y continuo implementado a través de
toda la organización para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar el logro
de sus objetivos.
LOGO
Responsabilidad por el ERM
La junta posee la responsabilidad de asegurarse que los riesgos
son gestionados. En la práctica, la junta delega en el equipo
gerencial la operación del marco de gestión de riesgo, quienes
son los responsables de realizar las actividades debajo. Podría
existir una función separada que coordine y maneje estas
actividades; y aplique destrezas y conocimientos especiales.
Todos en la organización juegan un rol en el aseguramiento de

éxito de la gestión de riesgo, pero la responsabilidad principal de
la identificación y manejo de éstos recae sobre la dirección o
gerencia.
LOGO
Actividades incluidas en el ERM
Articulación y comunicación de los objetivos de la organización;
Determinación apetito de riesgo de la organización;
Establecimiento de un ambiente interno apropiado,
incluyendo un marco de gestión de riesgo;
Identificación de amenazas potenciales;
Evaluación de riesgo, por ejemplo: impacto y posibilidad de
ocurrencia de las amenazas;
Selección e implementación respuestas a riesgos;
Fijar controles y otras actividades de respuestas;
Comunicación de información sobre riesgos de manera
consistente en todos los niveles de la organización;
Centralizar monitoreo y control de los procesos de gestión de
riesgo y de los resultados; y
Proveer aseguramiento sobre la eficiencia con la cual los riesgos
están siendo gestionados.
LOGO
Rol de la auditoría interna en el ERM
LOGO
Ventajas de ERM
La ERM puede realizar una gran contribución para ayudar a la organización

a gestionar los riesgos para el logro de sus objetivos. Las ventajas
incluyen:
Mayor probabilidad de lograr dichos objetivos

Información consolidada de riesgos dispares en el ámbito del consejo de
administración
Mayor comprensión de los riesgos clave y sus implicancias más amplias
Identificación e intercambio de conocimientos sobre riesgos de negocio
cruzados
Mayor atención de la dirección a los problemas realmente importantes
Menos sorpresas o crisis
Mayor atención internamente para hacer lo correcto de la manera
correcta
Mayor probabilidad de que se logren las iniciativas de cambio
Capacidad para asumir mayores riesgos en pos de mayores recompensas
Asunción de riesgos y toma de decisiones más informadas
LOGO

Metodologia de Una Auditoria PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Metodologia de Una Auditoria PDF

Uploaded by

Copyright:

Available Formats

Metodologías de control

interno, seguridad y auditoría

Metodología es una secuencia de pasos lógica y

Existen algunas metodologías de Auditoría informática y todas

Para dar una clasificación de las auditorias informáticas

Se requiere también de un buen dominio y uso constante de los

2. Estudio inicial del entorno auditable

3. Determinación de los recursos necesarios para realizar la

4. Elaboración del plan y de los Programas de Trabajo

5. Actividades propiamente dichas de la auditoría

6. Confección y redacción del Informe Final

7. Redacción de la Carta de Introducción o Carta de

 El alcance de la auditoría expresa los límites de la misma. Debe

 Las personas que realizan la auditoría han de conocer con la mayor

 Una vez definidos los objetivos (objetivos específicos), éstos se

Fase 2: Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y

3) Relaciones Jerárquicas y funcionales entre órganos de la

5) Número de Puestos de trabajo

Es frecuente que bajo nombres diferentes se realicen funciones

6) Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar.

La inadecuación del personal determina que el número de personas

que realizan las mismas funciones rara vez coincida con la

referencia del entorno en el que va a desenvolverse. Este

conocimiento previo se logra determinando, fundamentalmente, los

a. Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de los distintos Centros de

Proceso de Datos en la empresa. A continuación, se verificará la

b. Arquitectura y configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuración

Los auditores, en su estudio inicial, deben tener en su poder la

distribución e interconexión de los equipos.

c. Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los

elementos físicos y lógicos de la instalación. En cuanto a Hardware

El inventario de software debe contener todos los productos lógicos

del Sistema, desde el software básico hasta los programas de utilidad

Fase 3: Entorno Operacional

d. Comunicación y Redes de Comunicación:

En el estudio inicial los auditores dispondrán del número, situación y

características principales de las líneas, así como de los accesos a la

Igualmente, poseerán información de las Redes Locales de la

El estudio inicial que han de realizar los auditores se cierra y culmina

a. Volumen, antigüedad y complejidad de las Aplicaciones

b. Metodología del Diseño

Se clasificará globalmente la existencia total o parcial de

metodología en el desarrollo de las aplicaciones. Si se han utilizados

d. Cantidad y complejidad de Bases de Datos y Ficheros.

Mediante los resultados del estudio inicial realizado se procede a

determinar los recursos humanos y materiales que han de

del equipo van a utilizarse igualmente en el sistema auditado, por

entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a. Recursos materiales Software

b. Recursos materiales Hardware

La cantidad de recursos depende del volumen auditable. Las

Igualmente, la auditoría en general suele ser ejercida por profesionales

Elaboración del Plan y de los programas de trabajo

a) Si la Revisión debe realizarse por áreas generales o áreas

b) Si la auditoría es global, de toda la Informática, o parcial. El

Auditoría por temas generales o por áreas específicas:

La auditoría Informática general se realiza por áreas generales o